适用于:✅Microsoft Fabric 中的 SQL 数据库
Microsoft Fabric SQL 数据库附带了一组默认启用或易于启用的安全控制,使你能够轻松保护数据。
本文概述了 SQL 数据库中的安全功能。
身份验证
与其他 Microsoft Fabric 项目类型一样,SQL 数据库也依赖 Microsoft Entra 身份验证。 与用户共享数据库后,他们即可通过 Microsoft Entra 身份验证连接到该数据库。
有关身份验证的详细信息,请参阅 Microsoft Fabric SQL 数据库中的身份验证。
访问控制
可以通过两组控制来配置 SQL 数据库的访问:
- Fabric 访问控制 - 工作区角色和项权限。 它们提供管理数据库用户访问权限的最简单方法。
- 本机 SQL 访问控制,例如 SQL 权限或数据库级角色。 它们允许精细的访问控制。 可以在 Microsoft Fabric 门户中使用“管理 SQL 安全性 UI”配置数据库级角色。 可以使用 Transact-SQL 配置 SQL 本机控件。
有关访问控制的详细信息,请参阅 Microsoft Fabric SQL 数据库中的授权
治理
Microsoft Purview 是一系列数据治理、风险和合规性解决方案如何帮助组织治理、保护和管理整个数据资产。 除其他优势外,Microsoft Purview 还允许使用敏感度标签标记 SQL 数据库项,并定义基于敏感度标签控制访问的保护策略。
有关适用于 Microsoft Fabric(包括 SQL 数据库)的 Microsoft Purview 数据治理功能的详细信息,请参阅:
- 使用 Microsoft Purview 治理 Microsoft Fabric
- Microsoft Fabric 中的信息保护
- Microsoft Fabric 中的保护策略
- 使用 Microsoft Purview 保护策略保护 SQL 数据库中的敏感数据
网络安全
可以使用 专用链接 为 Microsoft Fabric 中的数据流量(包括 SQL 数据库)提供安全访问。 Azure 专用链接和 Azure 网络专用终结点用于通过 Microsoft 主干网络基础结构(而非通过 Internet)以私密方式发送数据流量。
有关专用链接的详细信息,请参阅:设置和使用专用链接。
加密
默认情况下,与 Fabric 的每个交互都经过加密,并使用 Microsoft Entra ID 进行身份验证。 有关详细信息,请参阅 Microsoft Fabric 中的安全性。
传输层安全性
所有 SQL 数据库连接都使用传输层安全性 (TLS) 1.2 来保护传输中的数据。
静态加密
Microsoft Fabric 使用Microsoft管理的密钥加密静态所有数据。 所有数据库数据存储在远程 Azure 存储帐户中。 为了符合使用 Microsoft 托管密钥的静态加密要求,SQL 数据库使用的每个 Azure 存储帐户都配置了启用 服务端加密 。
使用 Fabric 工作区的客户管理的密钥,可以使用 Azure Key Vault 密钥为 Microsoft Fabric 工作区中的数据添加另一层保护,包括 Microsoft Fabric 中 SQL 数据库中的所有数据。 客户管理的密钥提供更大的灵活性,使你能够管理其轮换、控制访问和使用情况审核。 它还有助于组织满足数据管理需求,并符合数据保护和加密标准。
有关 Microsoft Fabric 中 SQL 数据库的客户管理的密钥的详细信息,请参阅 Microsoft Fabric 中 SQL 数据库中的客户管理的密钥。
Auditing
SQL 数据库的 SQL 审核可以跟踪数据库事件并将其写入 OneLake 中的审核日志。 有关详细信息,请参阅审核。
限制
- Microsoft Fabric 中的 SQL 数据库中当前不支持使用客户管理的密钥进行加密。